防御视角下的攻击基础设施（2020）

Recorded Future 使用主动探测的方式对攻击者的 C&C 基础设施进行了研究。数据截至 2020 年 11 月 15 日，Recorded Future 一共发现了 80+ 种工具的 10000+ 个 C&C 服务器。

发现其中有 55% 的 C&C 服务器未在开源情报中发现，每个 C&C 服务器的平均生命周期为 54.8 天。Recorded Future 发现 33% 的 C&C 服务器是部署在美国的，其中很多都是信誉良好的服务提供商提供的，最多的是 Amazon、Digital Ocean 和 Choopa。

攻击者在配置和访问服务器时会留下可观测的指纹，有时候在服务器部署的恶意软件上、有时候在登陆面板上、有时候在 SSL 证书上，这都为发现攻击基础设施提供了机会。

C&C 服务器数量

按照发现 C&C 服务器的数量排序，最多的是 Cobalt Strike 占 C&C 服务器总数的 13.5%。紧随其后的是 Metasploit 和 PupyRAT。（例如通过 TLS 证书 、 Team 服务器端口 或者 HTTP 头来识别 Cobalt Strike）

后续也有一些常见的 C&C 框架得到了广泛的部署。根据 PWC 和 Blackberry 的 报告 ，大多数 Cobalt Strike 都使用的破解版和试用版。

部署服务器数量

在 576 个服务提供商中发现了 C&C 攻击基础设施，当然这只占到全球六万个 AS 运营商中的一小部分。

亚马逊（Amazon.com，Inc.）的 AS16509 部署了 471 个 C&C 服务器，其次是 Digital Ocean。当然，这并不代表服务提供商存在过失，可能是授权的红队（Red Team）在云上部署了这些框架。

结论

预计在未来的一年中，开源工具将会越来越普及，特别是 Covenant、Octopus C2、Sliver 和 Mythic。但 Cobalt Strike 仍然会保持领先地位，而且由于其源码已泄露，后续的攻击者会进一步使用 Cobalt Strike。

详情可参见 Recorded Future 的 报告 。

参考来源

RecordedFuture